【摘要】：當(dāng)今互聯(lián)網(wǎng)技術(shù)發(fā)展越來越快,互聯(lián)網(wǎng)帶寬出現(xiàn)跨越式增長。而防火墻作為網(wǎng)絡(luò)安全的第一道堅(jiān)實(shí)堡壘,已經(jīng)由傳統(tǒng)包過濾產(chǎn)品進(jìn)階為下一代防火墻。與此同時(shí),持續(xù)不斷的全球性信息安全事件又提醒著人們,如果缺乏自主可控的信息技術(shù),無法確保網(wǎng)絡(luò)安全,更難以在國際競爭中立足。本文在研究分析眾多防火墻架構(gòu)及龍芯平臺(tái)的基礎(chǔ)上,提出了一種安全、自主、可控的千兆龍芯防火墻解決方案——基于FPGA的龍芯防火墻的設(shè)計(jì)與實(shí)現(xiàn)。本文主要研究的關(guān)鍵預(yù)期目標(biāo)是:實(shí)現(xiàn)千兆線速的龍芯防火墻。系統(tǒng)設(shè)計(jì)將龍芯架構(gòu)作為防火墻的策略控制平臺(tái),采用FPGA技術(shù)利用硬件電路實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的線速處理和安全過濾。主要工作有:1)基于對(duì)防火墻產(chǎn)品發(fā)展歷史及不同架構(gòu)平臺(tái)的研究,對(duì)現(xiàn)有的龍芯單路防火墻系統(tǒng)的架構(gòu)進(jìn)行分析。完成下一代防火墻架構(gòu)和FPGA技術(shù)的技術(shù)研究。2)因原有單路防火墻平臺(tái)的性能羸弱和可擴(kuò)展能力不足。首要工作需將龍芯防火墻系統(tǒng)升級(jí)到雙路龍芯平臺(tái),經(jīng)過重新編譯內(nèi)核并使得原有對(duì)單處理器的配置調(diào)整到雙處理器平臺(tái)的支持,以及對(duì)PMON、內(nèi)核、驅(qū)動(dòng)層等一系列優(yōu)化實(shí)現(xiàn)工作,使得防火墻系統(tǒng)順利運(yùn)行在雙路龍芯平臺(tái)。同時(shí),對(duì)雙路平臺(tái)進(jìn)行了性能測(cè)試,比單路平臺(tái)性能得到大幅提升,但還未達(dá)到預(yù)期目標(biāo)。3)為了實(shí)現(xiàn)預(yù)期目標(biāo)。設(shè)計(jì)系統(tǒng)框架并對(duì)關(guān)鍵技術(shù)進(jìn)行說明,包括FPGA硬件數(shù)據(jù)流、五元組數(shù)據(jù)流處理及零拷貝加速設(shè)計(jì);其次,通過控制、數(shù)據(jù)平面的聯(lián)動(dòng)實(shí)現(xiàn),將防火墻系統(tǒng)的訪問控制功能遷移到FPGA模塊;零拷貝驅(qū)動(dòng)的實(shí)現(xiàn)及連接狀態(tài)跟蹤表狀態(tài)的同步,使FPGA模塊成為龍芯防火墻的高性能網(wǎng)卡并實(shí)現(xiàn)完整的狀態(tài)檢測(cè)和包過濾功能。通過以上的研究,本文作者利用實(shí)際的測(cè)試驗(yàn)證了FPGA模塊的加速效果�；贔PGA的龍芯雙路防火墻在測(cè)試環(huán)境下得出理想的測(cè)試數(shù)據(jù),吞吐量、最大并發(fā)連接數(shù)和新建連接數(shù)等防火墻性能指標(biāo)均能穩(wěn)定達(dá)到千兆線速。系統(tǒng)功能實(shí)現(xiàn)和性能提升都達(dá)到預(yù)期的效果。
[Abstract]:Nowadays the Internet technology develops more and more rapidly, the Internet bandwidth appears leaps and bounds growth. As the first solid fortress of network security, firewall has been advanced from traditional packet filtering products to the next generation firewall. At the same time, the continuous global information security events remind people that if they lack independent and controllable information technology, they can not ensure network security, and it is even more difficult to establish a foothold in international competition. Based on the research and analysis of many firewalls and their platforms, this paper puts forward a safe, autonomous and controllable gigabit firewall solution, which is based on the design and implementation of the Dragon Core Firewall based on FPGA. The key goal of this paper is to realize the Dragon Core Firewall with gigabit line speed. The system uses the core architecture as the policy control platform of the firewall, and adopts the FPGA technology to realize the line speed processing and security filtering of the network data flow by using the hardware circuit. The main work is as follows: 1) based on the research of firewall product development history and different architecture platforms, the architecture of the existing single-channel firewall system is analyzed. Complete the next generation firewall architecture and FPGA technology research. 2) the performance of the original single-way firewall platform is weak and scalability is insufficient. The most important work is to upgrade the Godson Firewall system to the dual-channel Godson platform, recompile the kernel and adjust the configuration of the single processor to the support of the dual-processor platform, as well as the PMON, kernel. A series of optimization work, such as driver layer, makes firewall system run smoothly on double channel core platform. At the same time, the performance of the dual-channel platform is tested, which is much better than that of the single-channel platform, but it has not reached the expected target. 3) in order to achieve the expected goal. The system framework is designed and the key technologies are described, including FPGA hardware data flow, five-tuple data stream processing and zero-copy acceleration design. Secondly, the access control function of firewall system is transferred to FPGA module through control and the linkage of data plane. The implementation of zero-copy driver and the synchronization of the state of the connected state tracking table make the FPGA module become the high-performance network card of the Dragon Core Firewall and realize the complete function of state detection and packet filtering. Through the above research, the author uses the actual test to verify the acceleration effect of the FPGA module. Under the test environment, the performance index of the dual-channel firewall based on FPGA can reach gigabit line speed stably, such as ideal test data, throughput, maximum concurrent connection number and new connection number. The system function realization and the performance enhancement all reach the anticipated effect.
【學(xué)位授予單位】：中國科學(xué)院大學(xué)(中國科學(xué)院工程管理與信息技術(shù)學(xué)院)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 毛翔昊;農(nóng)發(fā)行防火墻系統(tǒng)建設(shè)[J];中國金融電腦;2003年02期

2 陳平仲;防火墻系統(tǒng)的功能探討[J];中國教育技術(shù)裝備;2004年01期

3 曾志峰,楊義先;基于身份認(rèn)證和加密技術(shù)的包過濾防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)工程與應(yīng)用;1999年12期

4 陳菊華;防火墻系統(tǒng)的設(shè)計(jì)方法[J];華南金融電腦;2000年09期

5 ;阿爾派推出新一代防火墻系統(tǒng)[J];制造業(yè)設(shè)計(jì)技術(shù);2000年05期

6 張勵(lì),葉曉國;一種改進(jìn)的防火墻系統(tǒng)[J];電信快報(bào);2001年10期

7 徐超漢;防火墻系統(tǒng)的設(shè)計(jì)[J];華南金融電腦;2001年05期

8 朱之偉 ,尹永良,韓會(huì)峰,陳杭;農(nóng)戶小額貸款防火墻系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];中國金融電腦;2002年04期

9 李春艷,楊永田;新的防火墻解決方案——分級(jí)防火墻系統(tǒng)[J];計(jì)算機(jī)工程與應(yīng)用;2003年19期

10 白躍彬,鄭守淇,侯宗浩,鄒勇;一種防火墻系統(tǒng)安全模型的形式描述[J];小型微型計(jì)算機(jī)系統(tǒng);2003年04期

相關(guān)會(huì)議論文 前4條

1 周曉俊;謝小權(quán);;防火墻的失效狀態(tài)模型研究[A];第十七次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C];2002年

2 羅蓓蓓;邢鎮(zhèn)容;;計(jì)算機(jī)集成制造管理系統(tǒng)中信息的獲取與分析設(shè)計(jì)框架[A];先進(jìn)制造技術(shù)論壇暨第五屆制造業(yè)自動(dòng)化與信息化技術(shù)交流會(huì)論文集[C];2006年

3 張冬冬;李建中;王偉平;郭龍江;;分布式復(fù)式數(shù)據(jù)流的處理[A];第二十一屆中國數(shù)據(jù)庫學(xué)術(shù)會(huì)議論文集（研究報(bào)告篇）[C];2004年

4 楚紅濤;寒楓;張燕;王婷;;基于數(shù)據(jù)流的挖掘研究[A];計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展·2007——全國第18屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集[C];2007年

相關(guān)重要報(bào)紙文章 前10條

1 李東亮;防火墻需要自免疫設(shè)計(jì)[N];網(wǎng)絡(luò)世界;2004年

2 王波;讓你自己管理防火墻[N];中國計(jì)算機(jī)報(bào);2001年

3 李東亮;設(shè)計(jì)自免疫防火墻[N];計(jì)算機(jī)世界;2004年

4 李;分層布置安全規(guī)則[N];中國計(jì)算機(jī)報(bào);2004年

5 ;政府信息安全共享[N];中國計(jì)算機(jī)報(bào);2002年

6 ;東軟NetEye贏得國家首批信息安全產(chǎn)品自主原創(chuàng)資質(zhì)[N];國際商報(bào);2009年

7 ;構(gòu)建以防火墻為核心的網(wǎng)絡(luò)安全體系[N];計(jì)算機(jī)世界;2001年

8 ;八仙過海，，各顯神通[N];中國計(jì)算機(jī)報(bào);2000年

9 ;確保電信網(wǎng)安全[N];中國計(jì)算機(jī)報(bào);2002年

10 ;聰明的防火墻[N];網(wǎng)絡(luò)世界;2003年

相關(guān)博士學(xué)位論文 前10條

1 郭方方;集群防火墻系統(tǒng)的研究[D];哈爾濱工程大學(xué);2006年

2 李春艷;分級(jí)防火墻系統(tǒng)中動(dòng)態(tài)訪問控制技術(shù)研究[D];哈爾濱工程大學(xué);2004年

3 張麗;數(shù)據(jù)流上序敏感查詢處理關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2013年

4 李颯;數(shù)據(jù)流軟聚類理論及其在瓦斯災(zāi)害預(yù)警中的應(yīng)用[D];遼寧工程技術(shù)大學(xué);2014年

5 陳華輝;基于遺忘特性的數(shù)據(jù)流概要結(jié)構(gòu)及其應(yīng)用研究[D];復(fù)旦大學(xué);2008年

6 孔英會(huì);數(shù)據(jù)流技術(shù)及其在電力信息處理中的應(yīng)用研究[D];華北電力大學(xué)（河北）;2009年

7 崇志宏;基于屏蔽/匯總技術(shù)的數(shù)據(jù)流處理算法[D];復(fù)旦大學(xué);2006年

8 姚遠(yuǎn);海量動(dòng)態(tài)數(shù)據(jù)流分類方法研究[D];大連理工大學(xué);2013年

9 曹振麗;面向養(yǎng)殖環(huán)境監(jiān)測(cè)的數(shù)據(jù)流處理方法研究[D];中國農(nóng)業(yè)大學(xué);2015年

10 朱輝生;基于情節(jié)規(guī)則匹配的數(shù)據(jù)流預(yù)測(cè)研究[D];復(fù)旦大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 李汝鑫;基于FPGA的龍芯防火墻設(shè)計(jì)與實(shí)現(xiàn)[D];中國科學(xué)院大學(xué)(中國科學(xué)院工程管理與信息技術(shù)學(xué)院);2017年

2 夏弘睿;基于Linux平臺(tái)的校園防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

3 張秋實(shí);嵌入式Linux防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

4 胡啟芳;LVS集群技術(shù)在防火墻系統(tǒng)中的研究與應(yīng)用[D];電子科技大學(xué);2014年

5 楊秀梅;個(gè)人防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京郵電大學(xué);2016年

6 葉枝;江西省地方稅務(wù)防火墻系統(tǒng)的研究與應(yīng)用[D];南昌大學(xué);2011年

7 郭忠義;分布式并行防火墻系統(tǒng)研究與設(shè)計(jì)[D];電子科技大學(xué);2004年

8 陳高輝;一種實(shí)用的微型防火墻系統(tǒng)設(shè)計(jì)[D];中國科學(xué)院研究生院（西安光學(xué)精密機(jī)械研究所）;2004年

9 李長松;具有入侵檢測(cè)功能的防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2003年

10 周誠;基于多階層狀態(tài)檢測(cè)技術(shù)的防火墻系統(tǒng)研究與實(shí)現(xiàn)[D];中南大學(xué);2005年

本文編號(hào)：2304192